数字化浪潮席卷全球, 越来越多的企业在利用技术来彻底改变企业的业绩或触角. 数据作为数字化转型的根基, 对企业来说至关重要. 据调查发现, 在全球数据泄露事件中, 违规事件发生率较高的行业: 零售业占 16.7%; 金融与保险业占 13.1%; 医疗机构占 11.9%.(Trustwave 2018 年全球安全报告). 而这几个行业正是数字化转型的先驱. 发展与风险并存, 在数字化过程中对数据的保护成为了企业的头等大事.
2017 年 6 月 1 日施行的中华人民共和国网络安全法, 强调了对基础设施及个人信息的保护. 2018 年 5 月 1 日实施的信息安全技术个人信息安全规范, 从国家标准层面, 明确了企业收集, 使用, 分享个人信息的合规要求, 为企业制定隐私政策及个人信息管理规范指明了方向. 而在 2018 年 5 月 25 日正式生效的 GDPR, 被称为欧盟 "史上最严" 条例, 业已产生了巨大的影响:
Google,Facebook, 在 GDPR 生效日分别收到了欧盟 39 亿欧元, 37 亿欧元罚款的诉讼. 苹果, 亚马逊, LinkedIn 等公司也面临隐私监管机构提起的诉讼.
GDPR 生效后, 芝加哥时报, 洛杉矶时报等多家美国媒体网站在欧洲的服务器关停.
微信海外版, 新浪微博国际版等多家互联网企业向欧洲区用户更新隐私政策, 请求重新授权. QQ 停止部分国际版服务, 并将推出新版本, 提示用户升级. 国航, 东航均对其 APP 及官方网站隐私条款进行了更新.
海尔, 华为早已雇请专门团队应对新规.
为此, 安全值 & 谷安研究院对 GDPR 深度解读, 将要点进行了归纳, 助您快速了解 GDPR.
1. 适用性 (中国企业)
2. 数据相关方
数据主体 (data subject): 享有数据权利的主体, 个人数据所指向之自然人为数据主体
控制者 (controller): 义务主体, 指单独或者与他人一起, 决定个人数据处理之目的和方式的自然人, 法人或者其他组
数据处理者 (processor): 义务主体, 代表控制者, 处理个人数据的自然人, 法人或者其他组织
第三方 (Third party): 指未对 "个人数据" 有任何授权的其他方
3. 个人数据定义
"任何指向一个已识别或可识别的自然人的信息", 例如:
基本的身份信息: 姓名, 地址和身份证号码...
网络数据: 位置, IP 地址, Cookie 数据和 RFID 标签...
医疗保健和遗传数据; 生物识别数据, 如指纹, 虹膜等; 种族或民族数据; 政治观点; 性取向.
4. 数据处理定义
"指对个人数据或个人数据集合上执行的任何操作"
5. 数据处理原则
确保数据在整个数据生命周期的安全
数据收集: 收集目的明确, 合法, 数据主体同意授权
数据处理: 处理过程合法, 透明, 具备保障
存储: 安全, 保密, 存储期受严格限制
6. 数据主体权利
许可权
访问权
纠正权
限制处理权
反对权
可携权
被遗忘权
告知权
7. 同意条件
数据处理的前提是用户同意, 如果用户同意是在包含其他事项的书面声明中, 则该书面声明中的同意请求应当具有明显的辨识度并使用清楚, 直白的语言, 以容易理解且容易获取的方式呈现, 否则视为无效.
用户有权随时撤回其同意, 同意的撤回应当和同意的作出一样容易.
儿童的同意: 16 岁以上儿童的同意可以是处理其个人数据的合法条件, 不满 16 岁的儿童, 只有当其监护人授权同意时, 处理其个人数据才是合法的.
8. 组织责任
监测, 审查, 评估数据处理程序
最小化的数据处理及保留
为数据处理建立保障
记录数据处理的策略, 程序, 具体操作
9. 数据保护官 (DPO)
如果组织大规模的监控或处理大量的个人数据, 则必须任命数据保护官. 职责如下 (至少包括):
向企业和企业员工提供 GDPR 数据保护方面的信息和建议;
对企业 GDPR 合规以及数据保护方面所做的工作进行监管;
对企业 DPIAs 方面工作的参与和管理;
同监督机构合作, 负责数据外泄的紧急汇报;
协助实现数据主体的数据权利;
10. PIA(隐私影响评估)
当进行有风险的或大规模数据处理时, 组织必须进行隐私影响评估.
包括以下步骤:
A. 项目 PIA 需求分析: 分析 PIA 是否为该项目的必须流程
B. 项目涉及信息描述: 包含涉及什么信息, 如何收集, 用途, 是否涉及转移等
C. 风险识别: 数据处理对数据主体及企业带来风险的识别
D. 方案评估: 评估方案措施, 效果及成本
E. 方案执行: 执行方案并记录执行过程, 相关决策.
F. PIA 结果整合及监控: 将 PIA 结果及整改措施融入项目, 并不断监控 PIA 执行及优化.
11. PBD(隐私设计)
在提供的产品, 服务的各个环节, 都应充分考虑隐私保护, 使之成为组织工作中必不可少的一部分.
12. 关于罚金
监管机构可征收高达 2000 万欧元的严重处罚, 或者上一年全球年营业额的 4%, 以较高者为准.
制裁相关因素:
违规的性质, 严重程度和违规的持续时间
违规是故意的还是因疏忽导致
对个人身份信息处理的控制程度
违规是单个事件还是重复事件
涉及的数据主体遭遇损害的程度
为了减轻损害是否采取行动
由违规产生的财务预期或收益
与数据保护机构的合作情况
13. 数据外泄通告机制
组织在发生数据外泄时必须在 72 小时内, 即刻通报给监管机构. 并且, 若外泄会给个人带来风险, 也应该及时通知当事人.
来源: http://zhuanlan.51cto.com/art/201807/578806.htm